Neues aus dem IT-Grundschutz Ausblick und Diskussion Bundesamt für Sicherheit in der Informationstechnik Grundlagen der Informationssicherheit und IT-Grundschutz 2. IT-Grundschutz-Tag 2013 13.06.2013
Agenda Status Weiterentwicklung IT-Grundschutz IT-Grundschutz-Kataloge Umstrukturierungen in den IT-Grundschutz-Katalogen Prüffragen Überblickspapiere ISO 27001 Zertifizierung auf der Basis von IT-Grundschutz GSTOOL Fragen und Diskussion Folie 2
IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz Folie 3
IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz Änderungen der ISO 2700x Anpassung Risikoanalyse Virtualisierung Schutzbedarf und BIA enger abstimmen Und diverses mehr Folie 4
IT-Grundschutz BSI-Standards BSI-Standard 100-1: Managementsysteme für Informationssicherheit BSI-Standard 100-2: IT-Grundschutz-Vorgehensweise BSI-Standard 100-3: Risikoanalyse auf Basis von IT-Grundschutz BSI-Standard 100-4: Notfallmanagement Prüfschema: ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz Änderungen zur Integration Cloud Computing Folie 5
IT-Grundschutz-Kataloge 1 2 3 4 5 Veröffentlichung generell Neue Bausteine Prüffragen Folie 6
Weiterentwicklung der IT-Grundschutz-Kataloge "Stillstand ist Rückstand" Dennoch kann nicht jedes Thema berücksichtigt werden Es muss ermittelt werden, was benötigt wird Faktoren für Themenauswahl Nachfrage auf Messen, Vorträgen und sonstigen Veranstaltungen Anfragen auf GS-Hotline Themen in den Medien Umfragen bei unseren Anwendern Folie 7
Prinzip von Ergänzungslieferungen Regelmäßige Aktualisierung der IT-Grundschutz-Kataloge Beinhaltet überarbeite und neue Bausteine, Gefährdungen und Maßnahmen Verfügbare Versionen: Kostenfreie HTML-Version Kostenfreies Metadatenupdate für GSTOOL Kostenpflichtige gedruckte Version über Bundesanzeigerverlag Preis 12. EL: 115,80 Euro Preis Grundwerk 12. EL: 152,00 Euro Folie 8
IT-Grundschutz-Kataloge 13. Ergänzungslieferung Neue Bausteine Allgemeines Gebäude MS Windows 7 MS Server 2008 R2 Mac OS X Microsoft Exchange 2010 Lotus Notes Protokollierung Web-Anwendungen OpenLDAP Prüffragen Folie 9
Prüffragen Motivation Für Audit-, Anforderungen-, Aufrechterhaltung Zielgruppe sind Prüfer, Auditoren, etc. Zweck: sollen alle wesentlichen Kernaussagen des jeweiligen Bausteins enthalten geben Ziel und Grundrichtung vor letzte Checkliste, um Umsetzung von Maßnahmen zu kontrollieren ersetzen Kontrollfragen in Form und Detailtiefe einheitlich Folie 10
Prüffragen Weiteres Vorgehen Fleißarbeit: Projekt zur Erstellung der Prüffragen für alle Maßnahmen der IT-Grundschutz-Kataloge abgeschlossen! Wurden ins Redaktionsmanagementsystem eingepflegt (viel Arbeit!) Konsolidierung pro Baustein (noch mehr Arbeit!) Veröffentlichung der Prüffragen zusammen mit den IT-Grundschutz-Katalogen der 13. EL Folie 11
Die Serie geht weiter Weitere Ergänzungslieferungen: Überarbeitung der Bausteine B 4.1 B 4.2 B 1.13 B 3.404 Netzarchitektur Netz-Management Sensibilisierung Mobiltelefon / B 3.405 PDA Neue Bausteine Cloud-Management Webservices Cloud-Nutzung Cloud-Storage Anwendungsentwicklung Folie 12
Überblickspapiere Motivation Anwenderwunsch nach Sicherheitsempfehlungen für spezielle Themengebiete, z. B. zu neuen Vorgehensweisen, Technologien oder Anwendungen Überblickspapiere Nach Anwenderbedarf (Umfrage) Kurz und knackig Zeitnah Thematische Abgrenzung zwischen Gefährdungen & Sicherheitsmaßnahmen Folie 13
Überblickspapiere Apple ios Betriebssystem der Produkte iphone, ipad, ipod touch und einiger Versionen von Apple TV Herstellerspezifische Vertiefung des Überblickspapiers "Smartphones" Diverse Empfehlungen, wie Umgang mit Jailbreaks itunes lock-down Autorisierte Synchronisation Anforderungen am Mobile Device Management Veröffentlichung steht kurz bevor Folie 14
Überblickspapiere Was gibt es? Folie 15
Laufende Umfrage 2013 zur Weiterentwicklung Für IT-Grundschutz-Bausteine und Übersichtspapiere Einige Themen, die genannt wurden (Cloud Computing) Allgemeine Windows-Bausteine Mobiles Computing (BYOD, Smartphones & deren OS) und diverse weitere Ideen Aber auch viele allgemeine Aspekte Was fehlt? E-Mail an grundschutz@bsi.bund.de Laufzeit bis 24. Juni 2013 Folie 16
Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Prüfschema für ISO 27001-Audits: www.bsi.bund.de/iso27001-zertifikate Folie 17
ISO 27001-Zertifizierung auf der Basis von IT-Grundschutz Nachweis eines funktionierenden IT-Sicherheitsmanagements (intern und extern) Für Behörden gegenüber Bürgern oder Unternehmen Für Unternehmen gegenüber Kunden, Geschäftspartnern, Geldgebern (z. B. Basel II), Aufsichtsorganen Erhöhung der Attraktivität für Kunden und Geschäftspartner mit hohen Sicherheitsanforderungen Gesetzliche oder vertragliche Anforderungen Identifikation von Mitarbeitern und Unternehmensleitung mit Sicherheitszielen Optimierung der internen Prozesse geordneter effektiver IT-Betrieb mittelfristige Kosteneinsparungen Vermeidung von Imageschäden Folie 18
Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Ausgestellte Zertifikate 2010 19 Zertifikate erteilt 2011 16 Zertifikate 2012 23 Zertifikate erteilt 2013 13 Zertifikate erteilt, 22 laufende Verfahren Akkreditierung bei DAkkS in Bearbeitung Stand: 10.06.2013 Folie 19
Informationen zum GSTOOL Folie 20
IT-Grundschutz GSTOOL Elektronische Unterstützung der IT-Grundschutz-Vorgehensweise IT-Strukturanalyse Schutzbedarfsfeststellung Modellierung Sicherheitsanalyse Risikoanalyse Basis-Sicherheitscheck Anfallende Informationen werden über die grafische Benutzeroberfläche in eine Datenbank übernommen. Übersichtliche grafische Darstellung für Überblick über den aktuellen Sicherheitsstatus der betrachteten Objekte. Die Informationen können übersichtlich strukturiert mittels diverser Standardberichte ausgegeben werden. Folie 21
GSTOOL 4.x Sachstand GSTOOL 4.x Funktionserweiterungen (möglich) Metadatenupdates (sicher) Support (sicher) Fehlerbehebungen werden weiterhin via Servicepacks veröffentlicht Servicepack 3 veröffentlicht ("GSTOOL 4.8") Einstellung der Weiterentwicklung von GSTOOL 4.x in 2013 mindestens 1 Jahr Parallelbetrieb und Support beider GSTOOL-Versionen später kostenpflichtiger Support durch Entwicklerfirma Steria Mummert Consulting möglich Folie 22
GSTOOL 5.0 Sachstand Nachfolger des GSTOOL 4.x wurde beauftragt Beteiligung verschiedener Kooperationspartner Entwicklung des GSTOOL 5.0 konnte nicht erfolgreich beendet werden Prüfung mehrerer Optionen Entscheidung bis Sommerpause 2013 Folie 23
IT-Grundschutz Geplante Veranstaltungen 13. Juni 2013 in Regensburg: IT-Grundschutz-Tag mit ITSec-Cluster zu "Mit IT-Grundschutz die Kronjuwelen vor Kriminalität und Spionage schützen" 12.09.2013 in Berlin: IT-Grundschutz-Tag mit ATOS zu "Cloud-Zertifizierung" 09. Oktober 2013 in Nürnberg: IT-Grundschutz-Tag auf it-sa und viele weitere Folie 24
Fragen und Diskussion Folie 25
Vielen Dank für Ihre Aufmerksamkeit Noch Fragen? IT-Grundschutz-Hotline Telefon: 0228-9582-5369 E-Mail: grundschutz@bsi.bund.de GSTOOL-Hotline Telefon: 0228-9582-5299 E-Mail: gstool@bsi.bund.de XING-Forum IT-Grundschutz https://www.bsi.bund.de/grundschutz Folie 26
Kontakt Bundesamt für Sicherheit in der Informationstechnik (BSI) Godesberger Allee 195-198 53175 Bonn Tel: +49 (0)22899-9582-5369 Fax: +49 (0)22899-9582-5405 grundschutz@bsi.bund.de www.bsi.bund.de/grundschutz IT-Grundschutz Gruppe im XING-Forum: https://www.xing.com/net/itgrundschutz Folie 27